Post-Mortem

Source: Trigger.dev (blog) — Post‑mortem publié par le CTO Eric Allam le 28 novembre 2025, décrivant une compromission le 25 novembre 2025 via le ver supply chain Shai‑Hulud 2.0 diffusé dans l’écosystème npm. Résumé de l’incident Un ingénieur installe un package compromis (via pnpm install) exécutant un script preinstall qui déploie TruffleHog pour exfiltrer des identifiants (GitHub, AWS, npm, variables d’environnement) et les pousser vers des dépôts GitHub éphémères. L’attaquant mène ~17 h de reconnaissance (clonage massif de 669 dépôts depuis infrastructures US/Inde), surveille l’activité de l’ingénieur, puis lance une phase destructrice: force‑push de commits « init » attribués à « Linus Torvalds <[email protected]> » et fermeture de PRs (199 branches touchées, 42 PRs fermées). Certaines tentatives sont bloquées par la protection de branche. Détection rapide via une avalanche d’alertes Slack; en 4 minutes le compte compromis est retiré de l’organisation, stoppant l’attaque. Pas d’accès en écriture aux ressources AWS ni de compromission des packages npm de Trigger.dev. Impact et périmètre ...

Selon Cloudflare (blog), un incident de disponibilité le 5 décembre 2025 a provoqué des erreurs HTTP 500 durant ~25 minutes, sans cyberattaque, lors d’un changement de configuration du WAF effectué pour protéger contre la vulnérabilité critique CVE-2025-55182 affectant React Server Components. Impact: ~28 % du trafic HTTP servi par Cloudflare touché entre 08:47 et 09:12 UTC. Les clients impactés étaient ceux dont le trafic passait par l’ancien proxy FL1 avec les Cloudflare Managed Rulesets activés; presque toutes les requêtes renvoyaient HTTP 500, à l’exception de quelques endpoints de test (ex.: /cdn-cgi/trace). Le réseau Chine n’a pas été impacté. ⏱️ ...

Selon PostHog (posthog.com), un ver auto‑réplicant nommé Shai‑Hulud 2.0 a compromis plusieurs de ses SDK JavaScript publiés sur npm le 24 novembre 2025, après le vol d’un token GitHub et l’abus d’un workflow GitHub Actions. Nature de l’attaque: supply chain avec ver auto‑réplicant 🪱. Des versions npm malveillantes contenaient un script preinstall qui exécutait TruffleHog pour scanner et voler des identifiants, les exfiltrait en créant un dépôt GitHub public, puis utilisait d’éventuels tokens npm trouvés pour publier d’autres paquets compromis, propageant ainsi l’infection. ...

Selon le blog BushidoToken (référence fournie), l’ICO a sanctionné Capita d’une amende de 14 M£ à la suite d’une attaque BlackBasta en mars 2023 ayant compromis plus de 6 millions d’enregistrements, pour un coût de remédiation pouvant atteindre 20 M£. L’analyse met en lumière des failles systémiques (alertes manquées pendant 58 heures, SOC sous-doté, segmentation AD insuffisante, recommandations de tests d’intrusion non mises en œuvre) et en tire des enseignements concrets pour les équipes sécurité. ...

Source: BleepingComputer — La CISA a indiqué que des attaquants ont compromis le réseau d’une agence civile du pouvoir exécutif américain (FCEB) l’an dernier en exploitant une instance GeoServer non patchée. En 2024, des acteurs malveillants ont compromis le réseau d’une agence fédérale civile américaine suite à l’exploitation d’une vulnérabilité critique de type exécution de code à distance (RCE), référencée CVE-2024-36401, dans un serveur GeoServer non patché. Cette faille affecte les versions antérieures à 2.23.6, 2.24.4 et 2.25.2 et provient d’une mauvaise évaluation sécurisée des expressions XPath via la bibliothèque GeoTools, permettant à un attaquant non authentifié de lancer du code arbitraire. Le correctif a été publié le 18 juin 2024. ...

Source: news.sophos.com (Ross McKerchar) — Sophos décrit un incident survenu en mars 2025 où un employé a été piégé par un e‑mail de phishing, a saisi ses identifiants sur une fausse page de connexion, permettant un contournement de MFA, et détaille comment l’attaque a été contenue par une défense de bout en bout. Un RCA (root cause analysis) externe est publié sur le Trust Center. • Incident: un hameçonnage a conduit à la saisie d’identifiants sur une page factice, suivi d’un contournement de l’authentification multifacteur. L’acteur menaçant a tenté d’entrer dans le réseau mais a échoué 🛡️. ...

Selon The Record, dans un post-mortem de l’incident, l’Inspectrice générale de Baltimore, Isabel Mercedes Cumming, pointe des défaillances du service des comptes à payer. Le rapport souligne que le département n’a pas mis en œuvre des mesures correctives malgré des incidents de fraude antérieurs. 🧾 Il indique également l’absence de protections adéquates pour vérifier les détails des fournisseurs, un manque de contrôles qui a contribué à l’incident analysé. Ce contenu est une synthèse d’un post-mortem institutionnel, centrée sur les manquements procéduraux et les contrôles insuffisants au sein d’un service financier municipal. ...

Le blog d’Expel a publié une mise à jour importante concernant une erreur dans un article sur une attaque de phishing, initialement publié le 17 juillet 2025. L’article original affirmait qu’une nouvelle forme d’attaque de phishing permettait à un attaquant de contourner une connexion protégée par une clé FIDO en utilisant une authentification cross-device, même sans proximité avec le dispositif authentifiant. Cependant, après consultation avec la communauté de la sécurité, Expel a reconnu que cette affirmation était incorrecte. ...

L’article publié par Cameron Stish sur GuidePoint Security relate la découverte et l’impact de la vulnérabilité CVE-2025-33073, une attaque par réflexion Kerberos qui affecte les environnements Active Directory. La découverte a commencé par un accident de laboratoire lorsque l’auteur travaillait sur des techniques de relai Kerberos. En configurant un environnement de test avec un contrôleur de domaine et des services de certificats Active Directory, il a découvert une méthode permettant de contourner les protections existantes et d’accéder à des informations sensibles, comme le Security Accounts Manager (SAM). ...

L’actualité, provenant d’un rapport d’enquête publié par l’Autorité d’Investigation de la Sécurité, détaille une fuite de données majeure survenue en 2024 ciblant les systèmes informatiques de la Ville d’Helsinki, en particulier le réseau de la Division de l’Éducation (KASKO). L’enquête révèle que l’attaque a été facilitée par un routeur VPN obsolète et mal configuré, permettant à un attaquant de s’introduire dans le réseau interne à l’aide de comptes d’étudiants compromis. Plus de 750 000 fichiers ont été exfiltrés, contenant des données personnelles sensibles appartenant à des centaines de milliers de personnes, y compris des élèves et des employés de la ville. ...